Active Directory - Iis Server 2008

Published on December 2016 | Categories: Documents | Downloads: 51 | Comments: 0 | Views: 324
of 29
Download PDF   Embed   Report

Comments

Content


ACTIVE DIRECTORY
Concepto: Su estructura jerárquica permite mantener una serie de objetos
relacionados con componentes de una red, como usuarios, grupos de
usuarios, permisos y asignación de recursos y políticas de acceso.
Un Active Directory almacena información de una organización en una base
de datos central, organizada y accesible. Utiliza distintos protocolos
(principalmente LDAP, GLIB, DNS, DHCP, Kerberos...).
Los objetos se enmarcan en tres grandes categorías. — recursos (p.ej.
impresoras), servicios (p.ej. correo electrónico), y usuarios (cuentas, o
usuarios y grupos). El AD proporciona información sobre los objetos, los
organiza, controla el acceso y establece la seguridad.
Cada uno de estos objetos tendrá atributos que permiten identificarlos en
modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo
«email», etcétera, las impresoras de red tendrán campo «nombre», campo
«fabricante», campo «modelo», campo "usuarios que pueden acceder",
etc.). Toda esta información queda almacenada en Active Directory
replicándose de forma automática entre todos los servidores que controlan
el acceso al dominio.
Active Directory permite también crear estructuras jerárquicas de dominios
y subdominios.
Uso de estándares como X.500 y LDAP para el acceso a la información.
Requisitos de instalación: Para crear un dominio hay que cumplir, por lo
menos, con los siguientes requisitos recomendados:
 Tener cualquier versión Server de Windows 2000, 2003 (Server,
Advanced Server o Datacenter Server) o Windows 2008
 Protocolo TCP/IP instalado y configurado manualmente, es decir, sin
contar con una dirección asignada por DHCP,
 Tener un servidor de nombre de DNS, para resolver la dirección de los
distintos recursos físicos presentes en la red
 Poseer más de 250 MB en una unidad de disco formateada en NTFS de
Windows
Instalación:
Instalar Active Directory en Windows Server 2008
Active Directory
Son los servicios de directorios en una red distribuida de ordenadores de tipo Microsoft
Windows.

Cosas a tomar en cuenta:
 Primero debemos pensar en un nombre de dominio. En mi caso será elhacker.net
 Debemos configurar el protocolo TCP/IP
 Hay que destacar que también se instalara el servidor DNS, ya que es necesario para
implementar el Active Directory.

Empezar la Instalación

Para instalarlo podemos ir al Administrador del Servidor, hacer clic derecho sobre Funciones
y seleccionar Agregar Funciones, ahí elegimos Servicios de dominio de Active Directory:



Vamos a la consola (Menu Inicio / Símbolo del Sistema) y escribimos:
dcpromo

Esto nos lanzara la instalación de Active Directory. Durante unos instantes estará instalando
los binarios y después nos saldrá el asistente de instalación:



Hacemos clic en siguiente, nos mostrara unas advertencias sobre la compatibilidad de
Windows Server 2008 con versiones anteriores. Hacemos clic en siguiente.



A continuación nos preguntara si queremos crear un nuevo bosque o unirnos a uno ya
existente. Hacemos clic en Crear un dominio nuevo en un bosque nuevo.



En la siguiente pantalla agregamos el nombre que tendrá nuestro nuevo dominio:



Seguidamente tendremos que establecer el nivel funcional del bosque, esto es mas o menos
la compatibilidad que tendrá con otros servidores Windows Server. Si por ejemplo elegimos
Windows Server 2003 solo se podrá agregar a nuestro bosque los servidores que ejecuten
Windows Server 2003 o posterior.



En la siguiente pantalla establecemos el nivel funcional del dominio, seleccionamos Windows
Server 2003 como en el paso anterior:


Hacemos clic en siguiente y el instalador examinara la configuración DNS, nos preguntara los
componentes adicionales que queramos instalar, el servidor DNS es indispensable:

En algunos casos nos advierte que nuestra IP es configurada dinámicamente:



Hacemos clic en Si, el equipo usara una IP asignada dinámicamente y procedemos con la
instalación del servidor DNS.

En la pantalla siguiente tenemos que configurar las rutas donde se guardaran las bases de
datos del servicio DNS. Lo dejamos todo por defecto en nuestro caso.



Elegimos una contraseña de administrador:



Hacemos clic en siguiente, en la siguiente pantalla podemos exportar la configuración, por si
luego volveremos a usarla.



Después de hacer clic en siguiente empezará la instalación:



Al acabar la instalación nos pedirá que reiniciemos, procedemos a reiniciar el servidor.

Ya tenemos nuestro Active Directory instalado, podemos ir al Administrador del Servidor



Desplegar el menú de Funciones:


SERVICIOS:
A continuación mostramos un listado de las herramientas avanzadas
para configuración y administración de los controladores de dominio
Microsoft Windows Server 2008:
 Herramientas de AD DS:
o Centro de administración de Active Directory: permite
navegar, examinar y administrar objetos de equipo y de
usuario en el directorio.
o Dcpromo.exe: permite agregar o quitar funcionalidades de
controlador de dominio a un servidor mediante el Asistente
para la instalación de AD DS.
o Dominios y confianzas de Active Directory: permite
administrar confianzas, los niveles funcionales de dominio y de
bosque, y los sufijos de nombre principal del usuario (UPN).
o Editor ADSI: permite consultar, ver y editar objetos y
atributos en el directorio.
o Ldp.exe: permite realizar operaciones LDAP en el directorio,
como conectar, enlazar, buscar, modificar, agregar y eliminar.
o Netdom.exe: permite administrar cuentas de equipo, dominios
y relaciones de confianza.
o Ntdsutil.exe: permite realizar el mantenimiento de bases de
datos en el almacén de AD DS, configurar los puertos de AD
LDS y ver las instancias de AD LDS.
o Repadmin.exe: permite solucionar y diagnosticar problemas
de replicación entre controladores de dominio.
o Sitios y servicios de Active Directory: permite administrar
la replicación de los datos del directorio entre todos los sitios
del directorio.
o Usuarios y equipos de Active Directory: permite
administrar y publicar información en el directorio.
 Herramientas de servicios de directorio:
o Dcdiag.exe: permite diagnosticar el estado de mantenimiento
de controladores de dominio, bosques de directorios e
instancias de AD LDS.
o Dsacls.exe: permite ver y modificar descriptores de seguridad
en objetos de directorio.
o Dsadd.exe: permite agregar tipos específicos de objetos,
como usuarios, grupos y equipos, al directorio.
o Dsdbutil.exe: permite realizar el mantenimiento del almacén
de AD DS, configurar los puertos de comunicación de AD LDS y
ver las instancias de AD LDS.
o Dsget.exe: permite ver las propiedades seleccionadas de un
objeto específico, como un usuario o equipo, en el directorio.
o Dsmgmt.exe: permite administrar particiones de aplicación y
roles de maestro de operaciones, y quitar metadatos de
instancias abandonadas.
o Dsmod.exe: permite modificar un objeto existente de un tipo
específico, como un usuario o equipo, en el directorio.
o Dsmove.exe: permite mover un objeto a una nueva ubicación
de un dominio o cambiar el nombre de un objeto existente del
directorio.
o Dsquery.exe: permite consultar si existe un tipo de objeto
específico en el directorio siguiendo criterios especificados.
o Dsrm.exe: permite eliminar un objeto de un tipo específico o
cualquier objeto general del directorio.
o Módulo de Active Directory para Windows PowerShell: permite
usar el entorno de Windows PowerShell para administrar el
directorio.
 Redes y otras herramientas:
o GPfixup.exe: permite reparar dependencias de nombres de
dominio en vínculos y objetos de directiva de grupo tras una
operación de cambio de nombre de dominio.
o Ksetup.exe: permite configurar un cliente de modo que use el
dominio Kerberos V5 en lugar de un dominio de AD DS.
o Ktpass.exe: permite configurar un servicio Kerberos (no
Windows) como entidad de seguridad en AD DS.
o Nltest.exe: permite realizar tareas de solución de problemas
como la consulta del estado de replicación y la comprobación
de las relaciones de confianza.
o Nslookup.exe: permite ver información de servidores de
nombres para diagnosticar problemas de infraestructura DNS.
o W32tm.exe: permite ver opciones, administrar la
configuración y diagnosticar problemas con Horario de
Windows.
IIS
Plataforma de servicios que soporta contenido web, windows server 2008 incluye IIS 7.0
con mejoras de administración, escalabilidad y confiabilidad, incluye ademas
compatibilidad con sitios web creados con versiones anteriores a IIS 7.0. Puede agregar
componentes o quitarlos los que son llamados módulos.





Ventajas:
-Se controlan los módulos necesarias para el servidor.
-Personalización de servidor para una función esoecifica.
-Uso de módulos personalizados para reemplazar reemplazar existentes y agregar
nuevas caracteristicas.
-Mejora seguridad y disminuye administración reduciendo ataques (hacking), optimiza la
memoria y se elimina la administración de caracteristicas no necesarias.
Una instalación exitosa de IIS se basa en la configuracion correcta dependiendo del
requerimiento del usuario y desarrollador.

Administración
Se eliminan ventanas y cajas de cambio. Se incluye una nueva administración que
gestiona opciones disponibles y ajustes, ademas es amigable para la administracion de
sistemas y desarrolladores.

Seguridad
Por defecto se habilita un grupo básico de funcionalidades. El administrador debe habilitar
los servicios adicionales y caracteristicas.

Troubleshooting (Diagnostico y solución de problemas)
Es de vital importancia detectar y resolver cualquier error, para asi tener una continuidad
operativa del servidor. Las nuevas herramientas permiten detectar dichos problemas y
entregar detalles necesarios para solucionarlos


NUEVAS CARACTERISTICAS
Administración de la configuración centralizada: el que provee un metodo simple para
compartir información de configuración en los servidores. Soporta delegación separando
tareas de administración por motivos de seguridad y administración con permisos
granulares. Backward compatibility: Sitios web y app creadas en versiones anteriores de
IIS seguiran siendo compatibles incluyendo la herramienta de administración IIS 6

Instalación
1.- Configuration WIzard
2.- CLI: ServerManagerCmd.exe -install Web-Server
3.- PkgMgr.exe (en conjunto con otros caracteres)

Configuration Wizard:





ServerManagerCmd.exe -query muestra caracteristicas instaladas.


::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Modulos IIS
IIS es una arquitectura basada en módulos, incluye componentes y caracteristicas que
pueden ser usadas por soportar distintos tipos de contenido y aplicaciones, solo el
administrador pueder habilitar los componentes en el servidor.
Role Services son caracteriticas y opciones para su uso en un servidor web. Cuando se
instala IIS estos roles pueden ser agregador o quitados usando la consola Server
Manager.

Roles por defecto:


Common HTTP Features
La función mas importante de un servidore es disponibilizar paginas HTML usando el
protocolo HTTP.

Common HTTP Features:
Static content: coloca disponibles paginas Web estáticas, enviadas generalmente al
usuario sin procesos server-ide.
Default document: permite retornar automaticamente un archivo cuando no es
especificado. Por ej: si un usuario escribe www.duoc.cl el servidor web se podrá
configurar para que responda con la página default.aspx
Directory browsing: Listado de directorio, al habilitar se envia informacion de archivos y
directorios de un sitio web a un usuario, pero no recomendado para producción y sitios
públicos. Si Defaul Documen se encuentra habilitado y existe "match" los usuarios no
podrán listar los archivos del sitio.
Http errors: Mensajes de error que IIS permite personalizar, por ejemplo se puede incluir
el contacto del administrador del sitio para resolver problemas.
Http redirection: Permite redireccionar requests de un sitio a otro.

Application development
Los sitios de producción requieeren soporte para servicios Web dinámicos y para
aplicaciones Web.
ASP.NET: plataforma de desarrollo para servidores Microsoft Web, basado en Freamwork
de .Net (paginas .aspx)
.NET Extensibility: necesario para asp.net permitiendo cambiar y extender funcionalidades
del servidor web y las nuevas solicitudes.
ASP: Predesesor a ASP.NET el que provee un metodo basado en script de desarrollo de
aplicaciones web. Se ejecuta y genera contenido html el cual se envia por medio de IIS.
Soporta compatibilidad para aplicaciones que aun no se han actualizado a ASP.NET
CGI: Common gateway interface es un standard el cual define como el servidor web envía
información a script programados, requerido por componentes que se se ejecutan en el
servidor (server-side), un ejemplo de esto es PHP.
ISAPI extensions: Internet Server APlication Programming Interface es por el cual los
desarrolladores crean sus propios controladores de contenido los que interactuan con los
aspectos de IIS. El estándar ISAPI proporciona escalabilidad para soportar multiples
solicitudes, lo que lo hace mas rápido que CGI.
ISAPI filters: Es código personalizado que procesa solicitudes espcecificas. El contenido
que devuelve depende de la programación por parte del servidor. Son usados para
modificar o mejorar las funcionalidades de IIS.
Server side inludes: Da la posibilidad de insertar contenido común en todas las páginas
web. Por ejemplo: una cabecera, elementos de navegación y pie de páginas. Archivos
.stm, .shtm, y .shtml. Esta función se encuentra deshabilitada por defecto por razones de
seguridad.

Healt and Diagnostics Features
Los administradores deben aislar y solucionar los problemas que puedan ocurrir. Esta
caractrísticas ayudan a la colección y análisis de los requerimientos Web.
HTTP logging: registros de los requerimientos HTTP en texto plano. Por defecto se
registran algunos eventos pero esto se puede cambiar. La carpeta de estos log se ubica
en %SystemDrive%InetpubLogsLogFiles
Logging tolls: permite acceso simple para analizar los log. Estos en algunas ocasiones
pueden ser de gran tamaño imposibilitando su lectura. El tamaño minimo de uno de estos
Log dependiendo la configuración si es por día, horas expecificas, etc. es de 1 GB.
Request Monitor: permite ver en tiempo real la actividad del sitio web, además permite
diagnosticar problemas de performance.
Tracing: Habilita rastreo de peticiones fallidas a un procesos especifico durante un tiempo
predeterminado. Cuando un error es detectado es muy importante recopilar toda la
información posible.
Custom logging: Crea modulos propios basados en COM. Se debe construir el modulo de
registro y luego registrarlo en IIS para que almacene los datos.
ODBC Logging: Permite grabar registros de Log en formato disponible para la conexión
ODBC (base de datos). Causa overhead de recursos.

Security Features
Mantiene la seguridad de los servidores web. Dependiendo de la aplicación se pueden
habilitar una amplica variedad de mecanismos de seguridad.
Basic authentication: las mas usada, perola información no es cifrada por lo que se
recomienda usar ssl. Requiere usuario y contraseña de Windows.
Windows auhentication: autentifica usando NTLM o Kerberos. Recomendado para
intranet. La autentificacion es a traves del dominio Active Directory.
Digest authentication: Autentifica a los clientes enviando un hash de la contraseña hacia
un DC Windows.
Client Certificate Mapping Authentication: Autentifica contra un certificado asignado a una
cuenta Acive Directory.
URL authorization: Permite crear reglas que restringen acceso a contenido web
especifico.
Request filtering: Permite crear reglas para bloquear peticiones web. Haciendo filtros
disminuye la posibilidad de ataques (hack)
IP security: Habilita y deniega contenido en función de direcciones IP de origen y nombre
del dominio de la solicitud.

Performance Features
La arquitectura de IIS hace que el servicio de solicitudes web sea mas eficiente.
Static Content Compression: HTTP ofrece un método para comprimir las páginas
estáticas (html) antes de que se envíen al browser. Reduce el tráfico en la red con un
costo mínimo de CPU. Además IIS puede guardar en la memoria las páfinas mas
frecuentes (caché).
Dynamic Content Compression: el contenido dinámico es diferente para cada petición
web. Está deshabilitado por defecto y se puede habilitar para reducir el tráfico de red.
El ancho de banda en general es mas limitado que el de procesamiento de servidores, por
lo que se recomienda que la compresión de contenido se encuentre habilitada.

Management Tools
Herramientas de administración de IIS.
IIS Management Console: Soporta administración del servidor Web local y remoto.
IIS Management scripts and Tools: Administra un servidor local con script de
configuración.
Management Service: Permite que el servidor Web sea administrado de forma remota
IIS 6 Management Compatibility: Permite administración de IIS 7 con APIs o script de IIS
6.0


Intenet Information Services Manager, es la herramienta numero uno utilizada para la
configuración y administración de sitios web, la cual se instala por defecto al momento de
agregar el rol de IIS.



AppCmd.exe es una vía simple para ejecutar tareas comunes de un administrador. Los
parámetros de hoy se encuentran diseñador para administrar sitios web, Aplicaciones web
y directorios virtuales.



:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Seguridad IIS

La implementación de seguridad es un tema relevante en toda el area IT, pero
especificamente en aplicaciones que manejan información de vital importancia y
aplicaciones a las cuales acceden un gran número de usuarios/clientes. IIS reduce el área
de ataque al ser capaz de deshabilitar o remover caracteristicas innecesarias.

Jerárquias de objetos: IIS 7 fue diseñado para que utilice jerarquía de objetos en sitios
web y aplicaciones. Se pueden aplicar ajustes en el servidorr para sitios web,
aplicaciones, directorios virtuales, archivos y carpetas especificas.

Defensa de profundidad: Enfoque se seguridad de múltiples capas. Las opciones de
seguridad pueden ser autenticación, autorización, permisos de archivos y algunas oras
configuraciones de acceso. Esto trabaja en conjunto para que solo personal auorizado
tenga acceso al sistema.

Cuentas de seguridad IIS: Por defecto se crea una cuenta estándar llamada IUSRS y un
grupo de seguridad local llamado IIS_IUSRS. Las contraseñas de estas cuentas son
manejadas internamente por lo que los administradores no necesitan tener conocimientos
o modificaciones de dichas cuentas.

Permisos en sistema de archivos: Permisos de un contenido web a traves de permisos
NTFS. Puede ser administrador directamente con Windows explorer.


Administración remota: Se debe habilitar la caracteristica en el rol IIS (IIS Management
Service), trabaja en HTTP o HTTPS bajo el puerto 8172 por defecto (recordamos que este
puerto puede ser cambiado). Para poder realizar cambios primero debemos detener el
servicio de Administración remota. Esta administración es útil para trabajar con múltiples
administradores y mejorar la performance desde múltiples locaciones.



Administración de usuarios IIS: por defecto solo permite cuentas con autenticación
Windows pero esto puede modificarse facilmente. Se pueden crear cuentas locales para
la administración del servicio IIS no necesitando una cuenta Windows.

Definir permisos de administración: Los permisos de administración solo en los niveles de
Web Site y Web Applications. No se puede configurar a nivel de servidor lo que asegura
que los administradores remotos solo administren esos niveles. Por defeco los permisos
del primer nivel se heredan a los hijos, pero siempre es posible denegar permisos en
niveles especificos.

Configurar delegación de caracteristicas: La definición de usuarios y permisos solo es
aplicable para el contenido web. Se pueden habilitar caracteristicas que se pueden ver y
configurar, la delegación de caracteristicas por defecto está configurada a nivel se
servidor dependiendo de las que se encuentren instaladas. La mayoria tienen opciones
Read Only o Read/Write, teniendo opciones de configuración para ellas.

Administración de autenticación de IIS: Es el procesos por el cual un usuario o equipo
provee identidad por seguridad. El mas común es el que se entrega un usuario y
contraseña. Por defecto el contenido de un sitio Web está permitido para usuarios
anónimos.

Autenticación anónima: Está diseñado para que el contenido esté disponible para todos
los usuarios que se conecten al servidor web. El cliente no debe entregar autenticación
para acceder. El acceso al contenido por defecto es delegado a la cuenta IUSR, pero
puede ser cambiada al usuario que ejecuta el Application Pool.

Autenticación por formulario: Es el mas usado en internet ya que no tiene requisitos
especificos del navegador web. generalmente los desarrolladores web normalmente
construyen su propia página de inicio de sesión. Estos inicios de sesión suelen ser
validados contra la información almacenada en la base de datos de los sitios de internet o
contra el dominio de Active Directory.

Autentificación basada: Se puede acceder al menos a una página por defecto sin
necesidad de autenticación. Cuando se habilita IIS por defecto la autenticación anónima
está habilitada para el sisito web predeterminado y su contenido web. La autenticación
está diseñada para proporcionar acceso disponible para todos los usuarios que pueden
conectarse al servidor web. Un ejemplo claro es la web predeterminada para IIS, cuando
iis recibe una solicitud de contenido, se utiliza automáticamente una identidad específica
para completar la soliciud, de forma predeterminada la autenticación anónima utiliza la
cuenta incorporada IUSR (Contenido de la página 6-20 del libro para la prueba). Esa
cuenta tiene permiso para acceder al contenido basado en permisos NTFS.
El comando Set sirve para proporcionar usuario y contraseña para una cuenta diferemte,
esto es útil cuando se va a utilizar diferentes permisos NTFS para distintos contenidos
web. Además existe la opción de utilizar la identidad del grupo de aplicaciones, esto indica
que IIS puede utilizar las mismas credenciales que se aplican al grupo de aplicaciones
utilizadas por el Website o por las Web Applicationn.



Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close